سيسكو تواجه هجوماً مستمراً بثغرة يوم صفر من جهة تهديد خبيث

كشفت شركة سيسكو عن ثغرة أمنية حرجة من نوع “يوم الصفر” Zero-day vulnerability تستهدف أنظمة Cisco Catalyst SD-WAN Controller and Manager، والتي تم استغلالها بالفعل في عدد محدود من الهجمات. وتم تصنيف هذه الثغرة، التي تحمل الرقم CVE-2026-20182، بدرجة خطورة قصوى تبلغ 10 على مقياس CVSS، مما يعني إمكانية حصول المهاجمين على وصول إداري كامل للنظام.

ويأتي الكشف عن هذه الثغرة الجديدة بعد فترة قصيرة من تحذيرات سابقة من استغلال ثغرات أخرى في منتجات سيسكو الأمنية. وأوضحت الشركة أن المجموعة التي تقف وراء هذه الهجمات مرتبطة أيضًا بسلسلة من الثغرات الأمنية التي تم الكشف عنها سابقاً في جدران الحماية وأنظمة SD-WAN الخاصة بها.

ثغرة خطيرة في أنظمة Cisco SD-WAN

تسمح ثغرة يوم الصفر هذه للمهاجمين بالظهور أمام وحدة التحكم كنظام توجيه موثوق به، وفي حال تم قبول هذا الادعاء دون تحقق كافٍ، يمكن للمهاجمين الحصول على أعلى مستوى من صلاحيات الوصول الإداري. وقد شبه الخبراء الأمنيون هذه المهارة بـ “خدعة العقل الجيداي”، نظراً لقوتها في التحايل على الضوابط الأمنية.

تم اكتشاف الثغرة من قبل شركة Rapid7 وأبلغت عنها سيسكو، قبل أن تبدأ الشركة في استغلالها بشكل محدود. وقد قامت سيسكو بإصدار تصحيح فوري للثغرة، وتم إدراجها بسرعة في قائمة الوكالة الأمريكية للأمن السيبراني والبنية التحتية (CISA) للثغرات المعروفة والمستغلة.

استغلال متواصل للثغرات

تُعد هذه الثغرة جزءًا من سلسلة هجمات تستهدف منتجات سيسكو، حيث أظهرت تقارير أن مجموعة التهديدات المعروفة باسم UAT-8616 تقف وراء استغلال عدد من الثغرات الأمنية الجديدة والمتعلقة بأنظمة الشبكات المتطورة.

وأشارت سيسكو إلى أن استغلال ثغرة يوم الصفر الجديدة لا يزال مستمراً، مشددة على أهمية تطبيق التحديثات الأمنية المتاحة. ولم تكشف الشركة عن مزيد من التفاصيل حول دوافع أو أصول المجموعة المهاجمة.

تأثير الثغرات على البنية التحتية

أثارت هذه التطورات قلقاً لدى عملائ سيسكو الذين يواجهون موجة متزايدة من الهجمات السيبرانية. فمنذ أواخر فبراير، تم إضافة سبع ثغرات أمنية تؤثر على أنظمة Cisco SD-WAN وجدران الحماية إلى قائمة CISA للثغرات المعروفة والمستغلة.

وقد حذرت أبحاث سيسكو تالوس (Cisco Talos) من أن UAT-8616 وعشرات المجموعات التهديدية الأخرى قد تمكنت من تشكيل شبكة واسعة من الاستغلال النشط لثلاث ثغرات في بنية Cisco Catalyst SD-WAN غير المصححة. وكانت الشركة قد كشفت سابقاً عن هذه الثغرات وأصدرت تحديثات لها في فبراير.

من جهة أخرى، اكتشفت Rapid7 الثغرة الحرجة الجديدة أثناء بحثها في ثغرة أخرى سابقة، تم تحديدها واستغلالها بنشاط من قبل UAT-8616، مما يشير إلى أن الهجمات مرتبطة ببعضها البعض وتستهدف نقاط ضعف متسلسلة.

التداعيات الأمنية المحتملة

تؤثر الثغرة الأمنية الجديدة، التي تتجاوز المصادقة في نفس خدمة التحكم، على جميع أنواع عمليات نشر SD-WAN، بما في ذلك البيئات المحلية والسحابية. وهذا يعني أن اختراق وحدة تحكم SD-WAN واحدة يمكن أن يمنح المهاجمين سيطرة على كل فرع أو مركز بيانات أو نقطة طرفية متصلة بالشبكة.

وأكد خبراء الأمن أن قدرة المهاجمين على استغلال نقاط الضعف في البنية التحتية المركزية للشبكات يمكن أن تؤدي إلى عمليات ذات تأثير كبير. فبدلاً من اختراق جهاز توجيه فرعي واحد، يمكن للمهاجمين الآن السيطرة على وحدة التحكم الرئيسية، مما يتيح لهم إعادة توجيه حركة المرور، أو اعتراض الاتصالات، أو نشر برامج خبيثة، أو تعطيل الاتصال بالكامل عبر المؤسسة.